問:最近出現假的Google Doc的Google Drive應用,如果收到釣魚電郵,打開1個Google Doc文件時,會出現1個來自谷歌的請求,要求授權Google Doc接觸你的資料,一旦你批准這個請求,就很可能令你的Google Drive資料外洩,那是怎樣一回事?
李建軍:這次假Google Doc事件,主要是因為谷歌並無將Google Doc以及一系列的谷歌應用列為OAuth授權機制的保留字。黑客利用這個漏洞,製造1個命名為Google Doc的應用,並且四處發電郵以Google Doc名義,請求用戶授權將Google Drive資料交予對方。由於OAuth授權畫面確實來自谷歌,若不小心防範的用戶,就會將自己資料交予對方,完全懵然不知。谷歌經調查後,已經將相關的偽冒應用關閉,並且將一系列谷歌應用列為系統保留字,應會大大減低這類釣魚手法的風險。
但無論如何,谷歌或大部分正常的應用程式,都不會要求將你Google Drive內所有內容授權給他們閱讀,如果收到古怪電郵作出類似請求,你應先拒絕相關請求,並且另發1封電郵查詢一下你的朋友,到底發生甚麼事。因為相信這種釣魚手法,在未來可能有個別黑客執行當局要求他們的任務時,亦會用上類似手法,畢竟這種手法不單本小利大,而且用戶要提高警覺並不容易,因為那些授權請求,確實是來自谷歌本身,大部分用戶未必懂得判斷當中的真偽。
問:有1個藏於微軟辦公室軟件的保安漏洞,在去年10月發現,竟然要到上月,微軟公司才推出修補程式,堵塞當中漏洞。為何微軟公司要用了整整半年時間,才能夠修補軟件的漏洞?用戶又應如何面對這種挑戰?
李建軍:雖然微軟公司人才雲集,但現代軟件的內容愈來愈大,要找出個別保安漏洞背後的技術原因,並作出妥善的處理並不容易。這亦是為何開放源碼軟件的更新速度,以及修補保安漏洞的速度,往往比微軟作業系統來得快的原因,因為開放源碼有全球各地高手的支援,令整個除錯過程可以動用的資源和人手,遠遠多於一間軟件公司。這亦解釋了為何愈來愈多人在瀏覽器上,改用開放源碼群體開發的瀏覽器,因為瀏覽器在保安問題上,往往是首當其衝。
現時微軟辦公室軟件已經是安全,只要安裝微軟最新的修補軟件就可以,但如果仍不放心,或者因使用盜版軟件而不敢更新的話,最好的方法,暫時使用谷歌辦公室於瀏覽器上打開檔案,以策萬全。而如果是用Office 2016,只要訂購了微軟Office 365的雲端服務,就會變成正版用戶,現時微軟的軟件費用,由於可以逐月付款而變得相對便宜。因此,使用正版軟件,是不失為1個保障自己安全的方案,畢竟可以經常更新軟件,減少出問題的機會。
問:之前介紹過Zeronet這個翻牆軟件,而近日這軟件已經可以做到即開即用,到底使用有多易?
李建軍:Zeronet是使用bitcoin區塊鏈技術的翻牆軟件,由於開放源碼群體的努力,現時安裝Zeronet無論在那一個作業系統,都變得極為容易。在這集翻牆問答,我們準備了視頻,示範如何在下載後立即安裝和執行Zeronet,歡迎聽眾瀏覽本台的網站,收看有關視頻。因於現時Zeronet已經是高度跨平台,因此無論Windows、Mac還是Linux的下載和使用方法,都幾乎完全一樣,不用擔心在Mac上示範,於Windows會有走樣的問題。
0:00 / 0:00